论文部分内容阅读
摘 要:本文通过对IP地址和MAC地址对应过程的分析,介绍了局域网上的ARP病毒如何欺骗主机与网关,截获通信数据,引起网络中断。ARP病毒的防治是一个全校性的工程,加强ARP病毒的防治是当前学校网管工作的一个重要内容。
关键词:IP地址;MAC地址;ARP协议;局域网;病毒
中图分类号:TP309.5文献标识码:A 文章编号:1673-8454(2010)02-0082-03
网络层IP地址实现了底层网络物理地址的统一,但因特网技术并没有改变底层的物理网络,最终,在物理网络上传输数据还得依靠物理地址,也就是MAC地址,局域网中通过ARP(Address Resolution Protocol)协议来完成将IP地址转换成MAC地址。
一、IP地址和MAC地址的对应过程
IP地址与MAC地址之间的映射通常有两种方法,即静态映射和动态映射。我们现在使用的网络采用动态映射,动态映射是在需要获得地址映射关系时利用网络通信协议直接从其他主机上获得映射信息,建立并维护一个ARP缓存表,表里的IP地址与MAC地址具有一一对应的关系。
如图1所示,校园网络中,主机A、B、C、D在同一广播域内,主机E、F在同一广播域内,则主机A的电脑中有一个ARP缓存表,表中的IP地址与MAC地址一一对应,如表1所示。
2.中毒局域网主机冒充其他主机欺骗网关
中毒主机C冒充主机B告诉网关,主机B的IP地址10.200.0.12对应的MAC地址是0050FC0000CC,而网关(一般是三层交换机或路由器)中也有一个ARP缓存表,结果缓存表也就出错了,这样把原本应该发给主机B的数据都转发给了主机C,造成主机B断网。
一个局域网中往往是一台主机中了ARP病毒,病毒主机通过ARP攻击,捕获数据,从中获得有价值的信息,进行网络犯罪活动,而引起的结果是局域网中的电脑大量地断网,给管理工作带来巨大的压力。
三、ARP病毒的防治
随着校园网在整个学校中发挥的作用越来越大,加强ARP病毒的防治逐渐成为当前学校网管工作的一个重要内容。
我们在实践过程中,采用了如下方法,取得了良好的效果。
1.用三层交换机划分Vlan分割校园广播域
例如:在正常情况下,主机A与网络上的其他主机及网关有数据交换的情况下,在命令提示符下输入:ARP –a
C: >arp -a
Interface: 10.200.0.11 --- 0x4
Internet AddressPhysical AddressType
10.200.0.1 00-50-fc-00-00-11 dynamic
10.200.0.1200-50-fc-00-00-bb dynamic
10.200.0.1300-50-fc-00-00-cc dynamic
10.200.0.1400-50-fc-00-00-dd dynamic
我们可以从图2中看到,各主机与网关的MAC地址正确无误,网络通信正常。
但是当主机C中了ARP病毒以后,就会引起其他主机断网。这里,在断网的主机上(如主机A)我们再执行ARP命令,就会显示类似图3所示数据。
C: >arp -a
Interface: 10.200.0.11 --- 0x4
Internet AddressPhysical AddressType
10.200.0.1 00-50-fc-00-00-cc dynamic
从图3中的数据我们可以看到,网关的MAC地址替换成了中毒主机的MAC地址,这样发往网关的数据都转发给了中毒主机,正常的网络通信就中断了。
有了对全校网络上主机的事先了解,我们马上可以查出MAC地址为0050FC0000CC的是主机C,这时只要把主机C从网络上断开,等其他主机都刷新了ARP缓存表以后,网络就能恢复正常通信了。
4.利用常用工具防止ARP攻击的发生
合理地利用小工具,能实时了解校园网络的运行情况,现在常用的360安全卫士、瑞星个人防火墙、彩音ARP防火墙单机版等都具有ARP攻击的提示与防范作用,方便我们实时检测到ARP攻击的发生,同时也能方便地知道攻击源的MAC地址,可以有效地提高工作效率。
最后,需要指出的是,ARP病毒的防治是一个全校性的工程,只有全校师生都养成良好的上网习惯,不访问非正规的网站,不使用来历不明的软件,才能共同营造一个高效稳定安全的校园网络。
参考文献:
[1]兰少华,杨余旺,吕建勇.TCP/IP网络与协议[M].北京:清华大学出版社,2006.
[2]冯文新. 计算机网络技术与应用[M].北京:电子工业出版社,2005.
(编辑:刘轩)
关键词:IP地址;MAC地址;ARP协议;局域网;病毒
中图分类号:TP309.5文献标识码:A 文章编号:1673-8454(2010)02-0082-03
网络层IP地址实现了底层网络物理地址的统一,但因特网技术并没有改变底层的物理网络,最终,在物理网络上传输数据还得依靠物理地址,也就是MAC地址,局域网中通过ARP(Address Resolution Protocol)协议来完成将IP地址转换成MAC地址。
一、IP地址和MAC地址的对应过程
IP地址与MAC地址之间的映射通常有两种方法,即静态映射和动态映射。我们现在使用的网络采用动态映射,动态映射是在需要获得地址映射关系时利用网络通信协议直接从其他主机上获得映射信息,建立并维护一个ARP缓存表,表里的IP地址与MAC地址具有一一对应的关系。
如图1所示,校园网络中,主机A、B、C、D在同一广播域内,主机E、F在同一广播域内,则主机A的电脑中有一个ARP缓存表,表中的IP地址与MAC地址一一对应,如表1所示。
2.中毒局域网主机冒充其他主机欺骗网关
中毒主机C冒充主机B告诉网关,主机B的IP地址10.200.0.12对应的MAC地址是0050FC0000CC,而网关(一般是三层交换机或路由器)中也有一个ARP缓存表,结果缓存表也就出错了,这样把原本应该发给主机B的数据都转发给了主机C,造成主机B断网。
一个局域网中往往是一台主机中了ARP病毒,病毒主机通过ARP攻击,捕获数据,从中获得有价值的信息,进行网络犯罪活动,而引起的结果是局域网中的电脑大量地断网,给管理工作带来巨大的压力。
三、ARP病毒的防治
随着校园网在整个学校中发挥的作用越来越大,加强ARP病毒的防治逐渐成为当前学校网管工作的一个重要内容。
我们在实践过程中,采用了如下方法,取得了良好的效果。
1.用三层交换机划分Vlan分割校园广播域
例如:在正常情况下,主机A与网络上的其他主机及网关有数据交换的情况下,在命令提示符下输入:ARP –a
C: >arp -a
Interface: 10.200.0.11 --- 0x4
Internet AddressPhysical AddressType
10.200.0.1 00-50-fc-00-00-11 dynamic
10.200.0.1200-50-fc-00-00-bb dynamic
10.200.0.1300-50-fc-00-00-cc dynamic
10.200.0.1400-50-fc-00-00-dd dynamic
我们可以从图2中看到,各主机与网关的MAC地址正确无误,网络通信正常。
但是当主机C中了ARP病毒以后,就会引起其他主机断网。这里,在断网的主机上(如主机A)我们再执行ARP命令,就会显示类似图3所示数据。
C: >arp -a
Interface: 10.200.0.11 --- 0x4
Internet AddressPhysical AddressType
10.200.0.1 00-50-fc-00-00-cc dynamic
从图3中的数据我们可以看到,网关的MAC地址替换成了中毒主机的MAC地址,这样发往网关的数据都转发给了中毒主机,正常的网络通信就中断了。
有了对全校网络上主机的事先了解,我们马上可以查出MAC地址为0050FC0000CC的是主机C,这时只要把主机C从网络上断开,等其他主机都刷新了ARP缓存表以后,网络就能恢复正常通信了。
4.利用常用工具防止ARP攻击的发生
合理地利用小工具,能实时了解校园网络的运行情况,现在常用的360安全卫士、瑞星个人防火墙、彩音ARP防火墙单机版等都具有ARP攻击的提示与防范作用,方便我们实时检测到ARP攻击的发生,同时也能方便地知道攻击源的MAC地址,可以有效地提高工作效率。
最后,需要指出的是,ARP病毒的防治是一个全校性的工程,只有全校师生都养成良好的上网习惯,不访问非正规的网站,不使用来历不明的软件,才能共同营造一个高效稳定安全的校园网络。
参考文献:
[1]兰少华,杨余旺,吕建勇.TCP/IP网络与协议[M].北京:清华大学出版社,2006.
[2]冯文新. 计算机网络技术与应用[M].北京:电子工业出版社,2005.
(编辑:刘轩)